Política de Privacidad de la Aplicación
Status: marzo 2026
Aviso Importante – Traducción
Este texto es una traducción automática proporcionada para tu comodidad. No es vinculante legalmente.
Las versiones legalmente vinculantes de esta Política de Privacidad están disponibles en:
Alemán – para usuarios cuyo idioma de la aplicación está configurado en alemán: alma-app.eu/datenschutz
Inglés – para todos los demás usuarios: alma-app.eu/privacy
Si esta traducción difiere de la versión alemana o inglesa, se aplica la versión vinculante correspondiente. Si no estás seguro de qué versión te aplica, se aplica la versión en inglés.
Datos Clave de un Vistazo
Quién soy: Bastian Matzen / Alma Softwareentwicklung (Empresa Individual), Kienitzer Str. 113, 12049 Berlín, Alemania. Contacto: privacy@alma-app.eu | www.alma-app.eu
Tus datos conmigo:
✅ Seguros: Almacenamiento encriptado exclusivamente en la UE (Fráncfort del Meno).
✅ Privados: Sin transferencia de datos a terceros (excepto a tus contactos de emergencia en una emergencia).
✅ Voluntarios: Los datos de salud y muchos otros detalles son completamente opcionales.
✅ Controlados: Puedes ver, modificar o eliminar todo en cualquier momento.
✅ Transparentes: Sin uso oculto de datos, sin venta de tus datos.
Tus Derechos: Acceso, rectificación, eliminación, portabilidad, objeción, revocación del consentimiento – todo es posible en cualquier momento.
Las quejas pueden presentarse a: Comisionado de Berlín para la Protección de Datos y la Libertad de Información (datenschutz-berlin.de). Los usuarios en el EEE también pueden contactar a la autoridad supervisora en su país de residencia habitual. Los usuarios en el Reino Unido pueden contactar a la Oficina del Comisionado de Información (ico.org.uk). Los usuarios en Suiza pueden contactar al Comisionado Federal de Protección de Datos e Información (FDPIC).
1. Responsable y Contacto
Soy el responsable del tratamiento de datos en el contexto de la aplicación Alma, en el sentido del Reglamento General de Protección de Datos (RGPD), el Reglamento de Protección de Datos del Reino Unido (UK GDPR), la Ley Federal Suiza de Protección de Datos (FADP/DSG) y otras leyes aplicables de protección de datos:
Bastian Matzen Alma Softwareentwicklung (Empresa Individual) Kienitzer Str. 113 12049 Berlín Alemania
Opciones de Contacto Para preguntas sobre privacidad (preferido): privacy@alma-app.eu
Para soporte técnico: support@alma-app.eu
Sitio Web: www.alma-app.eu
1a. Representante en el Reino Unido
De conformidad con el Artículo 27 de UK GDPR, hemos designado al siguiente representante en el Reino Unido para asuntos de protección de datos:
Aron Harris Flat 7 324 Lewisham High Street SE13 6JZ London Reino Unido
Correo electrónico: privacy@alma-app.eu
2. Descripción General de la Aplicación y sus Funciones
Alma es una aplicación de seguridad personal y comunicación con dos funciones principales:
2.1 Alma Safety Net (Solo con Suscripción Connect+)
Controles de seguridad automáticos en ventanas de tiempo definidas.
Notificación automática a tus contactos de emergencia si pierdes un control.
Transmisión opcional de información de ubicación y salud en una emergencia.
2.2 Alma Moments (Gratuito)
Red social para compartir momentos con hasta 30 conexiones.
Publicación automática en el feed social si pierdes un control (si está habilitado).
Se requiere confirmación mutua de amistades.
2.3 Edad Mínima
El uso de la aplicación Alma está permitido para personas de 16 años o más. Las personas menores de 16 años no pueden usar la aplicación. Al registrarte, confirmas que tienes al menos 16 años.
3. ¿Qué Datos se Tratan?
3.1 Datos Obligatorios en el Registro
Para usar la aplicación, necesito los siguientes datos (Base Legal: Artículo 6(1)(b) RGPD – Cumplimiento de un Contrato):
Dirección de Correo Electrónico – para creación de cuenta, comunicación y restablecimiento de contraseña.
Contraseña – almacenada en forma encriptada y utilizada para la seguridad de la cuenta.
Nombre – para personalización y visualización a tus contactos.
Apellido – para identificación completa.
3.2 Datos de Perfil Opcionales
Puedes proporcionar voluntariamente los siguientes datos (Base Legal: Artículo 6(1)(a) RGPD – Consentimiento):
Foto de Perfil – para personalización y funciones sociales.
Fecha de Nacimiento – para verificación de edad.
Número de Teléfono – como método de contacto alternativo.
Dirección – para información de emergencia.
Biografía – para funciones sociales.
Ciudad – para funciones sociales y búsqueda.
3.3 Datos de Salud (Solo Connect+, Completamente Opcionales)
Estas categorías especiales de datos de conformidad con el Artículo 9 RGPD se tratan solo con tu consentimiento explícito.
Datos Recopilados: Tipo de sangre, alergias, medicamentos, condiciones médicas, mascotas, información de llave de casa, otra información de emergencia.
Base Legal: Artículo 9(2)(a) RGPD (Consentimiento Explícito).
Seguridad: Estos datos se almacenan utilizando encriptación AES-256 y solo se transmiten a tus contactos de emergencia confirmados en una emergencia.
3.4 Datos de Ubicación (Opcional)
El seguimiento de ubicación es completamente opcional y se puede operar en tres modos (Base Legal: Artículo 6(1)(a) RGPD – Consentimiento):
Guardar en Control – La ubicación se captura manualmente solo cuando realizas un control.
Siempre Enviar – La ubicación se actualiza en segundo plano. Técnicamente, solo se guarda la última ubicación conocida; la anterior se sobrescribe.
Deshabilitado – No se captura ni comparte ninguna ubicación.
Nota: Los datos de ubicación se eliminan automáticamente después de 30 días de inactividad.
3.5 Datos de Control
Durante los controles, se capturan los siguientes datos:
Tiempo de Control – para monitoreo de seguridad (Retención: 90 días para Connect+).
Información del Dispositivo – para análisis de errores (Retención: 90 días).
Última Ubicación Conocida – para notificaciones de emergencia (Retención: máx. 30 días, sobrescrita).
3.6 Datos Sociales (Alma Moments)
Cuando utilizas funciones sociales, se tratan los siguientes datos: Publicaciones (texto, imágenes, vídeos), comentarios, me gusta, conexiones y emojis de estado de ánimo.
Base Legal: Artículo 6(1)(b) RGPD (Cumplimiento de un Contrato para proporcionar funciones sociales) y Artículo 6(1)(a) RGPD (para contenido voluntario).
3.7 Datos Técnicos
Se tratan los siguientes datos técnicos para la operación de la aplicación:
Tipo de Dispositivo y SO – para optimización de la aplicación y análisis de errores (Base Legal: Artículo 6(1)(f) RGPD).
Versión de Aplicación – para soporte y actualizaciones (Base Legal: Artículo 6(1)(f) RGPD).
Token FCM – para notificaciones push (Base Legal: Artículo 6(1)(b) RGPD).
Zona Horaria – para tiempos de control correctos (Base Legal: Artículo 6(1)(b) RGPD).
Archivos de Registro del Servidor – para seguridad de la infraestructura y defensa contra ataques (Base Legal: Artículo 6(1)(f) RGPD).
3.8 Comunicación de Marketing (Opcional)
Solo si has dado tu consentimiento durante el registro o posteriormente en la configuración marcando la casilla, trataré tu dirección de correo electrónico y nombre para enviar consejos, noticias de la aplicación y actualizaciones (Boletín Informativo).
Base Legal: Artículo 6(1)(a) RGPD (Consentimiento).
Darse de baja: Puedes darte de baja en cualquier momento a través del enlace de cancelación en cada correo electrónico o en la configuración de notificaciones de la aplicación. La revocación del consentimiento no afecta la legalidad del tratamiento basado en consentimiento anterior a su revocación.
4. Propósitos del Tratamiento de Datos
Trato tus datos para los siguientes propósitos:
Cumplimiento de Contrato (Artículo 6(1)(b) RGPD): Provisión de la aplicación, controles, alertas, gestión de suscripción.
Consentimiento (Artículo 6(1)(a) RGPD): Datos de salud, compartir ubicación, información de perfil opcional, marketing.
Intereses Legítimos (Artículo 6(1)(f) RGPD): Prevención de fraude, seguridad técnica, solución de problemas.
Obligaciones Legales (Artículo 6(1)(c) RGPD): Obligaciones de retención, solicitudes de autoridades.
Nota sobre la Toma de Decisiones Automatizada: No se realiza ninguna toma de decisiones o perfilado automatizado en el sentido del Artículo 22 RGPD que produzca efectos legales sobre ti. El disparo de alarmas se basa exclusivamente en las ventanas de tiempo y reglas (lógica If-Then) que definas personalmente.
5. Destinatarios de Datos y Procesadores
5.1 Proveedores de Servicios
Trabajo con los siguientes proveedores de servicios para operar la aplicación:
Google Firebase (Google Ireland Ltd.) – para alojamiento, base de datos y autenticación. Ubicación: Fráncfort del Meno (europe-west3). Garantía de Protección de Datos: Marco de Privacidad de Datos UE-EE.UU. (DPF), Google Cloud DPA.
RevenueCat – para gestión de suscripción (datos tratados: estado de suscripción, hora de compra, ID de Usuario de Aplicación seudónimo, metadatos de transacción). Ubicación: EE.UU. (AWS). Garantía de Protección de Datos: Cláusulas Contractuales Estándar de la UE (CET), DPA. Para transferencias desde el Reino Unido: Acuerdo Internacional de Transferencia de Datos del Reino Unido (IDTA) o Anexo del Reino Unido a las CET de la UE. Para transferencias desde Suiza: cumplimiento de los requisitos de FADP/DSG.
Mailgun (Sinch) – para entrega de correo electrónico. Ubicación: UE. Garantía de Protección de Datos: DPA, cumplimiento de RGPD.
Algolia – para búsqueda de usuarios. Ubicación: UE. Garantía de Protección de Datos: DPA, cumplimiento de RGPD.
5.2 Transferencia de Datos Condicional (Canales de Notificación)
La transferencia a estos servicios solo ocurre si tu contacto de emergencia elige explícitamente estos canales:
Meta (API de Nube de WhatsApp) – solo si WhatsApp es seleccionado por el contacto. Meta está certificado bajo el Marco de Privacidad de Datos UE-EE.UU. Para transferencias desde el Reino Unido, también se aplica la Extensión del Reino Unido al DPF UE-EE.UU.
Telegram – El uso de Telegram solo ocurre si tu contacto de emergencia selecciona activamente este canal. En este caso, tu contacto da consentimiento directo al tratamiento de datos por parte de Telegram (potencialmente en servidores fuera de la UE).
5.3 Sin Transferencia de Datos a Terceros
Tus datos no se venden.
Sin transferencia para fines de publicidad de terceros.
Sin transferencia a intermediarios de datos.
Excepción: Tus contactos de emergencia reciben la información que hayas liberado en una emergencia.
6. Almacenamiento y Eliminación de Datos
6.1 Ubicación de Almacenamiento
Todos los datos se almacenan principalmente en la Unión Europea (Fráncfort del Meno, región de Google Cloud europe-west3).
6.2 Duración del Almacenamiento y Eliminación Automática
Historial de Controles: Eliminado automáticamente después de 90 días.
Datos de Ubicación: Eliminado automáticamente después de 30 días de inactividad (o sobrescrito continuamente).
Archivos de Registro del Servidor: Eliminado automáticamente después de 90 días (para análisis de errores/defensa contra ataques).
Enlaces de Invitación: Eliminado automáticamente después de 7 días.
Datos de Salud: Eliminación después de 12 meses de inactividad.
Datos de Cuenta: Eliminación después de 24 meses de inactividad.
Recordatorios Antes de la Eliminación por Inactividad:
Después de 12 meses sin iniciar sesión: Eliminación automática de datos de salud; correo de recordatorio enviado.
Después de 13 meses sin respuesta: Recordatorio adicional.
Después de 23 meses de inactividad: Correo de advertencia final.
Después de 24 meses sin respuesta: Eliminación completa de la cuenta.
Excepción para Suscripciones Activas: Mientras una suscripción Connect+ de pago esté activa, no se realiza eliminación automática por inactividad.
Datos de Facturación: Los datos de facturación (nombre, dirección, información de transacción) se almacenan durante 10 años de conformidad con obligaciones de retención fiscal (§ 147 AO). Estos datos se mantienen separados de los datos de uso.
Las cuentas eliminadas se eliminan permanente e irrevocablemente después de un período de gracia de 30 días.
Importante: Al solicitar la eliminación de la cuenta, el uso termina inmediatamente. A partir de este momento, no se activarán recordatorios de control, alarmas u otras notificaciones – ni para ti ni para tus contactos de emergencia. Además, tu perfil en Alma Moments ya no será visible. La eliminación física final de todos los datos ocurre después del período de gracia de 30 días.
7. Seguridad de Datos
Utilizo estándares de seguridad modernos:
Encriptación: TLS 1.2+ para transmisión de datos (en tránsito) y almacenamiento en servidores encriptados con AES-256 (en reposo) para datos sensibles.
Control de Acceso: Reglas de Seguridad de Firebase, autenticación estricta.
Seguridad de la Aplicación: Comprobación de Aplicación de Firebase, protección biométrica opcional (Connect+), bloqueo de configuración separado.
8. Tus Derechos
Tienes los siguientes derechos en cualquier momento (de conformidad con los Artículos 15-21 RGPD):
Acceso y Exportación de Datos: En la aplicación bajo Configuración → Privacidad.
Rectificación: Puedes editar todos los datos de perfil y salud tú mismo en la aplicación.
Eliminación: Puedes eliminar datos individuales o tu cuenta completa directamente en la aplicación.
Restricción del Tratamiento (Artículo 18 RGPD): Puedes solicitar la restricción del tratamiento, por ejemplo, si cuestiones la exactitud de tus datos o si el tratamiento es ilegal.
Revocación del Consentimiento: Puedes revocar el consentimiento (por ejemplo, ubicación, datos de salud, marketing) en cualquier momento en la configuración. La revocación no afecta la legalidad del tratamiento realizado antes de la revocación.
Derecho a Objetar (Artículo 21 RGPD): Si el tratamiento de datos se basa en intereses legítimos (Artículo 6(1)(f) RGPD), tienes derecho a objetar en cualquier momento por razones derivadas de tu situación particular.
Derecho a Presentar una Reclamación: Puedes contactar a la autoridad supervisora competente. Para usuarios en Alemania, es el Comisionado de Berlín para la Protección de Datos y la Libertad de Información (datenschutz-berlin.de). Los usuarios en el Espacio Económico Europeo (EEE) pueden contactar a la autoridad supervisora en su país de residencia habitual, lugar de trabajo o lugar de la supuesta infracción. Una lista de autoridades supervisoras está disponible en edpb.europa.eu. Los usuarios en el Reino Unido pueden contactar a la Oficina del Comisionado de Información (ICO): ico.org.uk. Los usuarios en Suiza pueden contactar al Comisionado Federal de Protección de Datos e Información (FDPIC): edoeb.admin.ch.
9. Situaciones Especiales de Tratamiento
9.1 Notificación de Emergencia (Solo Connect+)
En caso de un control perdido, tus contactos de emergencia serán notificados. Solo se transmitirán los datos que hayas almacenado en tu perfil y autorizado para liberar (por ejemplo, ubicación, información de salud). Base Legal:
Artículo 6(1)(b) RGPD (Cumplimiento de un Contrato)
Artículo 9(2)(a) RGPD (Consentimiento explícito para datos de salud)
Adicionalmente Artículo 9(2)(c) RGPD (Protección de Intereses Vitales), para asegurar la integridad física en una emergencia.
9.2 Invitación de Contactos de Emergencia
Para proteger la privacidad de terceros, no introduces directamente los detalles de contacto de otras personas en la aplicación.
Creación de Enlace: Generas un enlace de invitación personal en la aplicación.
Envío: Envías este enlace a tu persona de confianza a través de un canal de tu elección (por ejemplo, WhatsApp, Correo Electrónico).
Registro: Tu persona de confianza abre el enlace e introduce independientemente sus detalles de contacto y canal de notificación deseado. Mientras el enlace no se use, no se almacenan datos de tus contactos. Los enlaces sin usar expiran después de 7 días.
9.3 Tú como Contacto de Emergencia
Si aceptas una invitación, consientes que los detalles de contacto que proporcionas (Nombre, Correo Electrónico/Teléfono/Identificador) se almacenen para propósitos de notificación de emergencia. Puedes darte de baja en cualquier momento a través de un enlace de exclusión en los mensajes.
9.4 Configuración Remota (Connect+)
Puedes otorgar temporalmente a una persona de confianza acceso (a través de un código generado) para configurar la aplicación para ti y gestionar la configuración. Una vez conectado con éxito, este acceso permanece hasta que lo revoques en la aplicación. Por tu seguridad, todos los cambios realizados por la persona de confianza se registran (Registro de Auditoría).
Base Legal: Artículo 6(1)(b) RGPD (Cumplimiento de un Contrato, función iniciada por el usuario).
10. Autenticación de Terceros
Google Sign-In: Los datos transmitidos incluyen correo electrónico, nombre, foto de perfil. (Privacidad: policies.google.com/privacy)
Apple Sign-In: Los datos transmitidos incluyen correo electrónico (o dirección de relé) y nombre. (Privacidad: apple.com/legal/privacy)
11. Notificaciones Push
Utilizo notificaciones push para recordatorios de control, alarmas e interacciones sociales.
Base Legal: Artículo 6(1)(b) RGPD (para funciones contractuales como alarmas) y Artículo 6(1)(f) RGPD (para notificaciones sociales).
Control: Puedes gestionar la mayoría de los tipos de notificaciones en la configuración de la aplicación. Las notificaciones de seguridad críticas son parte del servicio principal.
12. Análisis y Solución de Problemas
12.1 Firebase Analytics
Utilizo Firebase Analytics en una configuración minimizada en datos para garantizar la estabilidad de la aplicación y reparar errores.
Medidas de Privacidad: No se recopilan IDs de publicidad (IDFA/AAID). La anonimización de IP está habilitada.
Propósito: Estadísticas anonimizadas de bloqueos y uso para optimización técnica.
Base Legal: Artículo 6(1)(f) RGPD (Interés legítimo en el funcionamiento sin errores y la seguridad de la aplicación).
12.2 Firebase Crashlytics
En caso de bloqueo de la aplicación, se envían detalles técnicos (seguimiento de pila, información del dispositivo) para reparar el error. No se almacenan datos directamente identificables en el informe de bloqueo.
12.3 ePrivacidad y Comunicaciones Electrónicas
El acceso a ciertas funciones del dispositivo y el almacenamiento de información técnica en el dispositivo (por ejemplo, tokens de FCM) pueden estar sujetos a leyes nacionales que implementan la Directiva ePrivacy (2002/58/CE). En el Reino Unido, se aplican las Regulaciones de Privacidad y Comunicaciones Electrónicas de 2003 (PECR). En Suiza, se aplican las disposiciones de la Ley de Telecomunicaciones (TCA/FMG). Donde se requiere consentimiento bajo la ley aplicable, se obtiene antes del acceso relevante.
13. Cambios en Esta Política de Privacidad
Me reservo el derecho de modificar esta Política de Privacidad. En caso de cambios significativos, serás informado a través de la aplicación o correo electrónico. La versión actual está siempre disponible en la aplicación y en el sitio web.
14. Transferencias Internacionales de Datos
El almacenamiento primario de datos tiene lugar en la Unión Europea (Fráncfort del Meno). Donde los datos se transfieren a proveedores de servicios fuera del EEE (ver Sección 5), confío en las siguientes garantías:
Marco de Privacidad de Datos UE-EE.UU. (DPF): Para transferencias a empresas basadas en EE.UU. certificadas bajo el DPF (por ejemplo, Google, Meta).
Cláusulas Contractuales Estándar de la UE (CET): Para transferencias a empresas no certificadas bajo el DPF (por ejemplo, RevenueCat).
Para transferencias desde el Reino Unido: Utilizo el Acuerdo Internacional de Transferencia de Datos del Reino Unido (IDTA) o el Anexo del Reino Unido a las CET de la UE, así como la Extensión del Reino Unido al DPF UE-EE.UU., donde sea aplicable.
Para transferencias relacionadas con Suiza: Cumplimiento con los requisitos de la Ley Federal Suiza de Protección de Datos (FADP/DSG), incluido el reconocimiento de decisiones de adecuación por el Consejo Federal y el uso de cláusulas contractuales estándar donde sea necesario.
Para más detalles sobre proveedores de servicios individuales, ver Sección 5.
15. Usuarios Fuera de la UE/EEE, Reino Unido y Suiza
Para usuarios en países no cubiertos por RGPD, UK GDPR o FADP suizo, el Proveedor aplica las mismas medidas técnicas y organizativas que para usuarios dentro del alcance del RGPD. Las disposiciones obligatorias de protección de datos de la ley de tu país de residencia habitual permanecen inalteradas.
16. Contacto
Bastian Matzen Alma Softwareentwicklung Kienitzer Str. 113 12049 Berlín
Correo Electrónico: privacy@alma-app.eu
Sitio Web: www.alma-app.eu